Μετά από μια περίοδο ελάχιστης έως καθόλου δραστηριότητας, η επιχείρηση ransomware DoppelPaymer έκανε μια κίνηση rebranding, τώρα με το όνομα Grief (γνωστό και ως Pay ή Grief).
Δείτε επίσης: Haron & BlackMatter: Οι νέες ransomware ομάδες που «έφερε» ο Ιούλιος
Δεν είναι σαφές εάν κάποιος από τους αρχικούς προγραμματιστές εξακολουθεί να βρίσκεται πίσω από αυτό το ransomware-as-a-service (RaaS), αλλά τα στοιχεία που αποκαλύφθηκαν από τους ερευνητές ασφαλείας δείχνουν τη συνέχιση του “project”.
Η δραστηριότητα του DoppelPaymer άρχισε να μειώνεται στα μέσα Μαΐου, περίπου μία εβδομάδα μετά την επίθεση του DarkSide ransomware στην Colonial Pipeline.
Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη
StealC: Κατάχρηση kiosk mode του browser για κλοπή password
Λογισμικό ακουστικών βαρηκοΐας εγκρίθηκε για τα AirPods Pro
Χωρίς ενημερώσεις στο leak site τους από τις 6 Μαΐου, φαινόταν ότι το DoppelPaymer έκανε ένα βήμα πίσω, περιμένοντας να μειωθεί η προσοχή του κοινού στις επιθέσεις ransomware.
Ωστόσο, οι ερευνητές ασφαλείας τον περασμένο μήνα επεσήμαναν ότι το Grief και το DoppelPaymer ήταν το ίδιο ransomware.
Ο Fabian Wosar της Emsisoft είπε στο BleepingComputer ότι οι δύο έχουν την ίδια κρυπτογραφημένη μορφή αρχείου και χρησιμοποίησαν το ίδιο κανάλι διανομής, το botnet Dridex.
Δείτε επίσης: LockBit ransomware: Κρυπτογραφεί Windows domains χρησιμοποιώντας group policies
Παρά την προσπάθεια του απειλητικού παράγοντα να κάνει το Grief να μοιάζει με ξεχωριστό RaaS, οι ομοιότητες με το DoppelPaymer είναι τόσο εντυπωσιακές που είναι αδύνατο να απορριφθεί η σύνδεση μεταξύ των δύο.
Τα νέα για το Grief ransomware εμφανίστηκαν στις αρχές Ιουνίου, όταν θεωρήθηκε ότι ήταν μια νέα επιχείρηση, αλλά βρέθηκε ένα δείγμα με ημερομηνία σύνταξης στις 17 Μαΐου.
Ερευνητές malware στην εταιρεία ασφάλειας cloud Zscaler ανέλυσαν το δείγμα ransomware πρώτου Grief και παρατήρησαν ότι το σημείωμα λύτρων που έπεσε σε μολυσμένα συστήματα έδειξε την πύλη DoppelPaymer.
Η σύνδεση μεταξύ των δύο επεκτείνεται περαιτέρω, στα σημεία διαρροής τους. Αν και οπτικά δεν θα μπορούσαν να είναι πιο διαφορετικές, οι ομοιότητες είναι πολλές, όπως ο captcha code που εμποδίζει την αυτόματη ανίχνευση του ιστότοπου.
Επιπλέον, οι δύο απειλές για ransomware βασίζονται σε πολύ παρόμοιο κώδικα που εφαρμόζει «πανομοιότυπους αλγόριθμους κρυπτογράφησης (2048-bit RSA και 256-bit AES) και κατακερματισμό εισαγωγής».
Μια άλλη ομοιότητα είναι ότι τόσο το Grief όσο και το DoppelPaymer χρησιμοποιούν τον Γενικό Κανονισμό Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης (GDPR) ως προειδοποίηση ότι τα θύματα που δεν πληρώνουν θα πρέπει ακόμη να αντιμετωπίσουν νομικές κυρώσεις λόγω της παραβίασης.
Υπάρχουν τόσο λίγα που ξεχωρίζουν τα δύο και είναι κυρίως «διακοσμητικά», ώστε οι ερευνητές να πιστεύουν ακράδαντα ότι πρόκειται για την ίδια ομάδα με διαφορετικό όνομα.
Αυτή τη στιγμή, υπάρχουν περισσότερα από δύο ντουζίνα θύματα που αναφέρονται στον ιστότοπο διαρροής Grief, δείχνοντας ότι ο απειλητικός παράγοντας ήταν απασχολημένος με το νέο όνομα. Φαίνεται ότι η συμμορία διεκδικεί επίσης την πρόσφατη επίθεση στον δήμο της Θεσσαλονίκης, δημοσιεύοντας ένα αρχείο αρχείων ως απόδειξη της εισβολής.
Δείτε επίσης: Grief ransomware επίθεση στον Δήμο Θεσσαλονίκης – Τι ζητούν οι χάκερς;
Το rebranding μιας συμμορίας ransomware δεν γίνεται απλώς για να διαγράψει τα ίχνη της αλλά και για να αποφύγει τυχόν κυβερνητικές κυρώσεις που θα εμπόδιζαν τα θύματα να πληρώσουν λύτρα.
Πηγή πληροφοριών: bleepingcomputer.com